Il gigante olandese della cosmetica Rituals ha confermato una violazione dei dati che ha colpito il programma fedeltà My Rituals, con aggressori che hanno ottenuto accesso non autorizzato ai dati personali di 41 milioni di membri. La violazione è stata scoperta nell'aprile 2026 e resa pubblica il 23 aprile.
La violazione dati Rituals: come è avvenuta
Rituals, il marchio cosmetico con sede ad Amsterdam con oltre 1.400 boutique in 33 paesi, ha rilevato un download non autorizzato del database dei membri. Il programma My Rituals offre premi esclusivi e sconti personalizzati, memorizzando per questo una significativa quantità di dati personali. L'azienda ha avviato un'indagine forense, bloccato l'accesso degli aggressori e notificato le autorità competenti. Nessun gruppo criminale ha rivendicato la responsabilità e Rituals non ha trovato prove che i dati rubati siano stati pubblicati online.
Quali dati personali sono stati rubati
Secondo la divulgazione ufficiale di Rituals, gli aggressori hanno avuto accesso alle seguenti informazioni dei clienti:
- Nome completo
- Indirizzo e-mail
- Numero di telefono
- Data di nascita
- Genere
- Indirizzo di casa
- Negozio preferito e tipo di account
La violazione ha principalmente colpito i membri in Europa e nel Regno Unito. I clienti interessati sono stati notificati direttamente via e-mail.
Password e dati di pagamento non sono stati esposti
Rituals ha confermato che le password degli account e i dati delle carte di pagamento non facevano parte del database compromesso. Tuttavia, gli esperti di cybersicurezza avvertono: la combinazione di nome, indirizzo, data di nascita e dati di contatto è più che sufficiente per attacchi di phishing altamente mirati e, in alcuni casi, per furto d'identità.
Perché le violazioni dei programmi fedeltà sono più pericolose di quanto appaiano
I dati dei programmi fedeltà sono spesso sottovalutati come vettore di minaccia. Con 41 milioni di record in gioco, la portata potenziale degli attacchi successivi è considerevole. I criminali possono usare questi dati per:
- Creare e-mail di phishing convincenti che citano il tuo nome reale e lo status di fedeltà
- Commettere frodi d'identità, incluse false richieste di credito
- Attaccare le vittime via SMS imitando le comunicazioni ufficiali di Rituals
- Combinare con altri dati rubati per profili di ingegneria sociale dettagliati
Casi come questo evidenziano perché gli utenti comuni ricorrono sempre più alle VPN come protezione di base, in particolare quando fanno acquisti o accedono ad account di abbonamento tramite Wi-Fi pubblico.
Cosa devono fare ora i clienti interessati
- Rimani vigile nei confronti di e-mail di phishing che usano il tuo nome reale o citano la tua iscrizione Rituals
- Non cliccare su link in e-mail o SMS inaspettati che si dichiarano provenienti da Rituals
- Cambia la password del tuo account Rituals per precauzione, anche se le password non sono state direttamente rubate
- Attiva l'autenticazione a due fattori sul tuo account e-mail
- Monitora attività insolita sugli account collegati all'indirizzo e-mail registrato su Rituals
